以太坊(Ethereum)團隊1月15日推遲了對以太坊區塊鏈的重大升級,原因是一家安全公司發現了一個幫助***竊取用戶資金的漏洞。
以太坊網絡代號爲“君士坦丁堡升級”的活動計劃1月16日啓動,隨後將在週五(1月18日)決定新版本的發佈日期。
該漏洞是區塊鏈安全專家稱之爲“ 重入*** ”的漏洞,它被ChainSecurity發現,其研究人員在博客文章中作出了詳細敘述。漏洞的“殺傷力”在於,它允許惡意威脅行動者從與***者簽署以太坊智能合約的用戶那裏竊取資金。
智能合約是在以太坊區塊鏈上運行的腳本,允許用戶輸入以太幣資金,與其他用戶一起彙集資金,並根據一系列預定條件接收貨幣。
ChainSecurity專家發現,以太坊君士坦丁堡升級處理智能合約的方式允許惡意行爲者在不滿足合同要求或未經用戶批准或知情的情況下提取用戶資金。這種漏洞被稱爲“重入***”,因爲它允許***者一遍又一遍地重新執行相同的操作,直到耗盡所有用戶的共享資金。
以太坊開發人員表示,“ChainSecurity和TrailOfBits在整個區塊鏈中運行分析在當前的以太坊平臺上可能被利用的易受***的合約,這兩家安全公司目前沒有找到任何漏洞已在野外被使用的證據。另外,以太坊開發團隊及其安全組(ethsecurity.org)正在開發一個補丁,同時也在尋找類似的漏洞。綜上,加密貨幣的持有者無需擔心。